热字热来用
网络安全
与防火墙协同工作的网络入侵检测系统研究
曹艳秋
（鹤岗市委尧校黑龙江鹤岗154100）
摘要：入慢检测系统(IntrusionDetectionSystem，IDS)作为最常见的网络安全产品之一，已经得到了非常广泛的应用。但近年来随着入侵防御系统(IntrusionPreventionSystem，IPS)的异军突起，不断有人认为IPS是IDS的升级版本，甚至还有认为IDS没有用的言论出现。本文试从入侵检测系统角度出发进行分析，来看看到底入侵检测系统是“已死”还是“有发展“。
关键词：协议分析入侵检测TCP/IP协议模式匹配入侵响应
中图分类号：TP393.08
文献标识码：A文章编号：1007-9416（2011）05-0067-01
本文所设计的网络人侵检测系统运行在Windows主机率台上，与受保护的系统所采用的操作系统的类型无关。之所以选用Windows系统作为系统平台，而不是采用相对更稳定的Linux系统，主要考虑到现在全世界PC机用户中，使用Windows操作系统的占绝对多数，他们面临着巨大的网络人侵威胁，所以在这个基础上研究IDS更有推和使用意义，但是随之带来的问题是， Windows系统本身的不稳定性与安全性间题可能不能为NIDS自身的安全性提供足够的保障，这是我们必须需要考虑的间题，但是
基于此次设计的任务，此问题在本文中不做研究。 1、网络入侵检测系统整体结构
本文所设计的网络人侵检测系统是在CIDF模型和Denning提出的模型的基础上设计的，能够完成基本功能，加人了与防火墙
之间的协同工作。 2、工作流程
鉴于目前网络所广泛使用的和各种人侵所广泛针对的都是 TCP/IP协议，所以本文所设计的系统只采集和分析基于TCP/IP协议的数据包，对基于其它协议的数据包则采取丢弃处理。
分布在具体网段内的数据采集及分析子系统负责该网段内数据包的采集与分析工作。数据预处理模块将数据采集模块传递过来的数据包进行TCP/IP分片的重组与有关数据包信息的提取，然后要对数据包进行协议解析，根据数据包的协议类型将其交由数据分析模块的进行协议分析。
数据分析模块利用具体的规则比较对数据包进行检测，如发现有入侵发生将报警信息传递至日志与报警子系统。报警模块将各数据采集模块及分析模块提交的报警信息进行精简然后转换成相应的日志格式存人日志文件。
日志和报警子系统和防火墙进行协作，将收集到的报警信息
告诉给防火墙，并了解防火墙的策略，提高检测率。 3、数据采集及分析子系统的研究
本文所设计的网络人检测系统主要针对TCP/IP协议族的。因此，其采集和处理的数据包要根据TCP/IP协议的结构层次来设计。各个模块的设计思路均以此为原则。数据果集及分析子系统是为检测引擎子系统提供服务的，它将采集到的数据包分类预处理，得到较为简单的数据，然后交由检测引擎子系统，使其更好的完成检测。数据采集及分析子系统分三个模块：数据采集模
块，数据预处理模块，数据分析模块。 4、不同协议数据格式分析
4.1以太网上传输的物理慎格式
其中目的地址和源地址采用48比特表示硬件地址。类型字段表示该数据顿是哪一类协议，如0x0800表示IP数据报，0x0806表示ARP请求/应答，0x0835表示RARP请求/应答。CRC字段用于内后续字节差错的循环元余码校验（校验和）。
4.2TCP首部格式
每个TCP数据包都含有源端口和目的端口的端口号，用于寻方方数据
找发送端和接收端的应用进程，此外再加上IP首部中的源IP地址和目的IP地址就能够唯一确定一个TCP连接。
在TCP首部中有六个标志位，它们中的多个可同时设置为：
(1)URC紫急指针有效；(2)ACK确认序号有效；(3)PSH接收方应尽快将这个报文交给应用层；
(4)RST重建连接；(5)SYN同步序号用来发起一个连接；
(6)FIN发送端完成发送任务。 4.3UDP首部格式
UDP首部有以下几部分组成：
(1)端口号：包括源端口号和目的端口号，表示发送进程和接收进程；(2)UDP长度字段：UDP首部和UDP数据的字节长度；
(3)UDP校验和：覆盖UDP首部和UDP数据。
日志和报警子系统的研究 5
日志和报警子系统负责记录由检测引擎模块处理后的信息，并根据检测引整的处理结果决定是否向网络管理员发出报警信息。日志按照-定的组织方式记录人侵信息。日志和报警子系统的设计，主要实现以下功能：
(1)记录人侵发生的详细信息，包括人侵者IP地址，发生时间，持续时间，攻击类型，攻击的端口等。
(2)给网络管理员提供实时报警。 6、与防火墙协作的设计
由于网络人侵检测系统和防火增是两个独立的系统，二者之间的协作需要有桥梁，那么协作子系统正是承担了这样一个任务。本文选择通过接口的通信协作方式来完成网络人侵检测系统与防火墙的协作的设计。在通信过程中，所有数据通信是经过认证和加密的，以确保其完整性和可靠性。以下是通信的基本过
程：
(I)初始化通信：一般由NIDS向防火墙发出建立连接请求；
(2)正常连接建立后，通过发送约定格式的数据包，来完成传递，其中的主要信息应包括：人侵者的端口和IP地址，被攻击主机的端口和IP地址，实施阻断的时间，协议类型，是否要求回应的标识，其他保留字段等。
(3)防火墙收到信息后，实施行动，然后将实施结果按照约定
格式返回给NIDS。 7、结语
单纯由防火墙构造的安全设置和单纯由人侵检激构造的安全设置，并不能百分之百有效的防止人侵，而二者的结合并设置得当，会使我们的网络更为坚周一些，并且能提供更多的攻击信息让我们分析。本文所采用的网络人侵检测系统与防火墙间的接口
设计，灵活简便，增加了网络安全的整体性能。参考文献
[1]唐正军,李建华入侵检测技术[MI.北京：清华大学出版社,2004.4
[2]马春光,郭方方.防火墙、入侵检测与VPNEM].北京：北京邮电大学出版社,2008.4
667